Osmosis, un échange décentralisé (DEX) construit sur le réseau Cosmos, a été arrêté juste avant 3h00 HNE mercredi après que des attaquants aient exploité un bogue de fournisseur de liquidité (LP) à hauteur d’environ 5 millions de dollars.
Le bug était le premier identifié dans un post Reddit sur la page officielle de Cosmos Network. L’utilisateur, Straight-Hat3855, a attiré l’attention sur un « problème sérieux » avec l’osmose (OSMO) qui permettait aux utilisateurs d’augmenter arbitrairement les LP de 50 % simplement en ajoutant et en supprimant des liquidités. La publication Reddit a été rapidement supprimée, mais pas avant que des acteurs malveillants n’aient profité du bogue, qui a vu environ 5 millions de dollars retirés des pools de liquidités sur la bourse Osmosis.
Suite à l’exploit et à l’identification du bug LP, l’échange Osmosis a été stoppé à une hauteur de bloc de 4 713 064, selon à une annonce de l’explorateur de blocs Osmosis Mintscan.
RoboMcGobo, modérateur du projet, a expliqué comment le bogue a fonctionné dans une série de messages dans Osmosis Discord, qui a expliqué comment la faille permettait aux attaquants d’ajouter des liquidités à n’importe quel LP d’Osmosis, puis de le retirer immédiatement pour un retour de 150 % sur leur dépôt initial : « Essentiellement , la fonction donnerait 50% de trop d’actions LP pour une jointure », a écrit RoboMcGobo mercredi après 16h00, ajoutant:« Si l’on devait avoir 10 actions LP, 15 seraient obtenues.
RoboMcGobo a expliqué que le bogue était « exploité intentionnellement par un petit nombre d’utilisateurs » et « apparemment involontairement par quelques autres ». Selon un fil Twitter d’Osmosis, quatre attaquants étaient responsables de 95 % du montant total de l’exploit, deux des attaquants s’étant volontairement avancés pour restituer les fonds volés.
Mise à jour:
– 4 individus ont été identifiés qui représentent plus de 95 % du montant d’exploitation réalisé.
– 2 personnes sur 4 ont exprimé de manière proactive leur intention de restituer intégralement le montant exploité.
— Osmose (@osmosiszone) 8 juin 2022
Environ une heure après le tweet d’Osmosis concernant l’attaque, FireStake, un validateur de l’écosystème Cosmos, a publié un fil Twitter admettant qu' »un manque temporaire de jugement » a vu deux membres de son équipe exploiter le bogue à hauteur d’environ 2 millions de dollars. .
Firestake a déclaré à ses 1 700 abonnés sur Twitter qu’ils « pensaient à [their] l’avenir de la famille » quand ils ont continué à exploiter le bogue. Cependant, après avoir admis avoir « stressé toute la nuit » à propos de l’événement, ils ont décidé de retourner volontairement les fonds et de « mettre les choses au clair ».
Cher @osmosezone communauté, beaucoup d’entre vous connaissent le bogue d’Osmosis LP qui s’est produit hier.
Incrédules quant à sa réalité, deux membres de @fire_stake commencé à tester pour voir si le bogue existait, les tests se sont transformés en un manque de jugement temporaire, et …
— FireStake | Validateur (@stake_fire) 8 juin 2022
Selon à un message du co-fondateur d’Osmosis, Sunny Aggarwal, les deux autres pirates responsables du vol ont effectué une série de transactions vers des échanges centralisés, ce qui, selon Aggarwal, facilitera leur recherche.
RoboMcGobo a fait écho aux paroles d’Aggarwal dans le Discord du projet : « Les fonds ont été liés aux comptes CEX. Les forces de l’ordre ont été informées… nous espérons que les exploiteurs feront ce qu’il faut ici pour qu’une action agressive ne soit pas nécessaire.